Voorwaarden van Keeper Security

Terug naar SaaS-gebruiksvoorwaarden

Addendum inzake gegevensverwerking

Dit Addendum Inzake Gegevensverwerking ("Addendum") is een aanvulling op de Gebruiksvoorwaarden ("Voorwaarden") en/of andere schriftelijke of elektronische overeenkomst ("Overeenkomst") tussen: (i) Keeper, dat wil zeggen de Keeper-entiteit die de contracterende partij is onder de Overeenkomst ("Keeper" of "Verkoper"), handelend namens zichzelf en als vertegenwoordiger van een Gelieerde Entiteit van Keeper; en (ii) de Klant van Keeper ("u" of "Klant"), handelend namens zichzelf en als vertegenwoordiger van een Gelieerde Entiteit van de Klant.

De begrippen die in dit Addendum worden gebruikt, hebben de betekenis die in dit Addendum wordt uiteengezet. Begrippen met een hoofdletter die hierin niet anders zijn gedefinieerd, hebben de betekenis die daaraan is gegeven in de Overeenkomst, of indien deze begrippen niet zijn gedefinieerd in het Addendum of de Overeenkomst, hebben deze begrippen de betekenis zoals vastgelegd in de Europese Algemene verordening gegevensbescherming (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016) (zoals van tijd tot tijd gewijzigd) ("AVG"). Behalve zoals hieronder gewijzigd, blijven de begrippen van de Overeenkomst volledig van kracht.

Definities

De volgende termen in dit Addendum hebben de onderstaande betekenis:

  1. Gelieerde Entiteit betekent elke entiteit die direct of indirect zeggenschap heeft over, onder zeggenschap staat van of onder gezamenlijke zeggenschap staat met de betreffende entiteit. Voor de doeleinden van deze definitie betekent "zeggenschap" direct of indirect eigendom van of zeggenschap over meer dan 50% van de stembelangen van de betreffende entiteit.
  2. Toepasselijke Wetgeving betekent alle wetten die van toepassing zijn op de Verwerking van Klantgegevens, waaronder mogelijk EU-Wetgeving Inzake Gegevensbescherming, andere wetten van de Europese Unie of lidstaten daarvan, Britse wetten en de wetten van elk ander land waaraan de Klant of de Klantgegevens zijn onderworpen.
  3. Klantgegevens betekent Persoonsgegevens die Keeper verzamelt, ontvangt en/of verwerkt namens en in overeenstemming met de instructies van de Verwerkingsverantwoordelijke op grond van de Overeenkomst, exclusief Persoonsgegevens die Keeper verwerkt als Verwerkingsverantwoordelijke. Voorbeelden van Klantgegevens omvatten lijsten met namen van geautoriseerde gebruikers, e-mailadressen, toegewezen rollen of andere contactgegevens.
  4. Verwerkingsverantwoordelijke betekent de entiteit die alleen of samen met anderen de doeleinden en de wijze van de Verwerking van Persoonsgegevens bepaalt. Ter verduidelijking: niets in dit Addendum is bedoeld om een gezamenlijke verwerkingsverantwoordelijkheid tussen de partijen te creëren. Elke partij blijft individueel verantwoordelijk voor de naleving van diens respectievelijke verplichtingen onder de Toepasselijke Wetgeving.
  5. Betrokkene verwijst naar een natuurlijke persoon wiens Persoonsgegevens worden verwerkt in de context van dit Addendum.
  6. EU-Wetgeving Inzake Gegevensbescherming betekent de AVG en de e-Privacyrichtlijn 2002/58/EG (zoals gewijzigd door Richtlijn 2009/136/EG en zoals van tijd tot tijd gewijzigd en vervangen) en de nationale uitvoeringswetgeving ervan, indien van toepassing.
  7. AVG betekent de Algemene Verordening Gegevensbescherming van de EU 2016/679;
  8. Britse GDPR betekent de Britse General Data Protection Regulation en Data Protection Act 2018.
  9. Onafhankelijke Verwerkingsverantwoordelijke betekent een entiteit die de doeleinden en middelen bepaalt voor de verwerking van Persoonsgegevens voor zijn eigen onafhankelijke doeleinden.
  10. Persoonsgegevens zijn Klantgegevens die alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon omvatten.
  11. Verwerker betekent het geheel dat Persoonsgegevens verwerkt namens een Controller.
  12. Verwerking of proces betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens, afzonderlijk of in sets, al dan niet op geautomatiseerde wijze, zoals verzameling, opname, organisatie, structurering, opslag, aanpassing of wijziging, ophalen, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaarstelling, afstemming of combinatie, beperking, verwijdering of vernietiging
  13. Diensten betekent de diensten en andere activiteiten die door Keeper voor de Klant moeten worden geleverd of uitgevoerd volgens de Overeenkomst;
  14. Modelcontractbepalingen betekent de standaard contractuele bepalingen voor de overdracht van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen die geen adequaat niveau van gegevensbescherming garanderen, zoals uiteengezet in besluit 2021/914 van de Europese Commissie van 4 juni 2021.
  15. Subverwerker betekent elke Verwerker die door Keeper is ingeschakeld om Persoonsgegevens te verwerken in verband met de Diensten.

VERWERKING VAN PERSOONSGEGEVENS

  1. Het doel van de verwerking onder het Addendum is de levering van de Diensten door Keeper zoals gespecificeerd in de Overeenkomst. De partijen komen overeen dat met betrekking tot de verwerking door Keeper namens de Klant, de Klant de Verwerkingsverantwoordelijke is en Keeper de Verwerker, met uitzondering van enkele beperkte gegevens die worden genoemd in 2.4, waar Keeper optreedt als Verwerkingsverantwoordelijke. De categorieën en soorten Persoonsgegevens die door Keeper worden verwerkt, worden vermeld in bijlage A. De verwerking van Persoonsgegevens onder dit Addendum duurt gedurende de looptijd van de Overeenkomst, tenzij anders vereist door de Toepasselijke Wetgeving.
  2. Keeper mag alleen optreden en de Persoonsgegevens verwerken in overeenstemming met de gedocumenteerde instructies van de Klant (de "Instructie"), tenzij er een wettelijke verplichting is om op te treden zonder dergelijke instructie. De Instructie op het moment van het aangaan van dit Addendum is dat Keeper de Persoonsgegevens alleen mag verwerken met het doel om de Diensten te leveren zoals beschreven in de Overeenkomst. Onder voorbehoud van de begrippen van dit Addendum en met wederzijdse instemming van de partijen, kan de Klant aanvullende schriftelijke instructies geven die in overeenstemming zijn met de begrippen van dit Addendum. De Klant moet ervoor zorgen dat alle personen die schriftelijke instructies geven daartoe bevoegd zijn.
  3. Keeper zal de Klant informeren over elke instructie die Keeper in strijd acht met de Toepasselijke Wetgeving, waaronder de EU-Wetgeving Inzake Gegevensbescherming, en zal de instructies niet uitvoeren totdat ze zijn bevestigd of gewijzigd.
  4. Gegevensverwerking als Verwerkingsverantwoordelijke: Keeper verwerkt bepaalde persoonsgegevens voor zijn eigen rechtmatige doeleinden, als Onafhankelijke Verwerkingsverantwoordelijke, uitsluitend wanneer de verwerking noodzakelijk en proportioneel is ten aanzien van een van de volgende gerechtvaardigde bedrijfsdoeleinden: (i) beveiliging of fraude-opsporing, (ii) verzameling en gebruik van analyses voor de redelijke bedrijfsdoeleinden van Keeper en ten behoeve van de Klant, (iii) levering en verbetering van technische ondersteuning en onderhoud voor de Diensten (inclusief accountregistratie en facturering) en (iv) klantrelatiebeheer, zoals het verwerken van contactgegevens van Klanten om communicaties te ontvangen.

VERTROUWELIJKHEID EN BEVEILIGING

  1. Keeper zal alle Persoonsgegevens als strikt vertrouwelijke informatie behandelen. De Persoonsgegevens mogen niet worden gekopieerd, overgedragen of anderszins worden verwerkt in strijd met de Instructie, tenzij de Klant schriftelijk heeft ingestemd. De werknemers van Keeper zijn onderworpen aan een geheimhoudingsverplichting die ervoor zorgt dat de werknemers alle Persoonsgegevens onder dit Addendum met strikte vertrouwelijkheid zullen behandelen. Persoonsgegevens worden alleen beschikbaar gesteld aan personeel dat toegang tot dergelijke Persoonsgegevens nodig heeft voor de levering van de Diensten en dit Addendum.
  2. Keeper zal de passende technische en organisatorische maatregelen treffen zoals uiteengezet in Subbijlage C bij deze Overeenkomst en in overeenstemming met de Toepasselijke Wetgeving, waaronder artikel 32 van de AVG. De beveiligingsmaatregelen zijn onderhevig aan technische vooruitgang en ontwikkeling. Keeper kan de beveiligingsmaatregelen van tijd tot tijd bijwerken of wijzigen, mits dergelijke updates en wijzigingen niet leiden tot een verslechtering van de algehele beveiliging.

RECHTEN VAN DE BETROKKENE

  1. Indien de Klant een verzoek ontvangt van een betrokkene tot uitoefening van diens rechten onder de Toepasselijke Wetgeving en het correcte en rechtmatige antwoord op een dergelijk verzoek de hulp van Keeper vereist, zal Keeper de Klant bijstaan door de benodigde informatie en documentatie te verstrekken. Keeper zal voldoende tijd krijgen om de Klant te kunnen ondersteunen bij dergelijke verzoeken in overeenstemming met de Toepasselijke Wetgeving.
  2. Indien Keeper een verzoek ontvangt van een betrokkene tot uitoefening van diens rechten onder de Toepasselijke Wetgeving en dit verzoek betrekking heeft op de Persoonsgegevens van de Klant, zal Keeper, tenzij wettelijk verboden, het verzoek onmiddellijk doorsturen naar de Klant en afzien van rechtstreekse beantwoording, tenzij en totdat de Klant anderszins instructies geeft.

INBREUKEN OP PERSOONSGEGEVENS

  1. Keeper zal de Klant onmiddellijk op de hoogte stellen, uiterlijk 72 uur nadat is bevestigd dat er een inbreuk heeft plaatsgevonden, die kan leiden tot de onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot Persoonsgegevens die namens de Klant worden verzonden, opgeslagen of anderszins verwerkt (een "Datalek").
  2. Keeper zal de nodige inspanningen leveren om de oorzaak van een dergelijke inbreuk te identificeren en die stappen nemen die Keeper nodig acht om de oorzaak vast te stellen en om te voorkomen dat een dergelijke inbreuk opnieuw optreedt.

DOCUMENTATIE VAN DE NALEVING EN AUDITRECHTEN

  1. Op verzoek van een Klant, om gegronde redenen of voor zover vereist door artikel 28 van de AVG, zal Keeper alle relevante informatie beschikbaar stellen aan de Klant die nodig is om naleving van dit Addendum aan te tonen en zal audits toestaan en redelijk meewerken aan controles, inclusief inspecties door de Klant of een door de Klant aangwezen auditor. De Klant zal kennisgeving doen van elke uit te voeren audit of documentinspectie en zal de nodige inspanningen leveren om schade of verstoring van de gebouwen, apparatuur en activiteiten van Keeper te voorkomen in de loop van een dergelijke audit of inspectie. Elke audit of documentinspectie zal worden uitgevoerd met een voldoende voorafgaande schriftelijke kennisgeving van niet minder dan zestig (60) kalenderdagen en zal niet meer dan eenmaal per jaar worden uitgevoerd.
  2. Ondanks bovenstaande beperkingen zijn aanvullende audits toegestaan op elk moment wanneer er aanwijzingen zijn van niet-naleving, een Beveiligingsincident of op verzoek of instructie van een bevoegde toezichthoudende autoriteit.
  3. De Klant kan worden gevraagd om een geheimhoudingsovereenkomst te ondertekenen die aanvaardbaar is voor Keeper voordat deze wordt geleverd met het bovenstaande.

GEGEVENSOVERDRACHTEN

  1. Europese Economische Ruimte en Zwitserland
    Met betrekking tot Persoonsgegevens van Klanten uit de Europese Economische Ruimte ("EER") of Zwitserland die worden overgedragen van de Klant aan Keeper, komen de Partijen overeen om te voldoen aan de Modelcontractbepalingen die zijn goedgekeurd door Uitvoeringsbesluit (EU) 2021/914 (de "EU-MCB's"), die hierin middels verwijzing zijn opgenomen.
  2. De Partijen komen overeen dat de voorwaarden tussen Verwerkingsverantwoordelijke en Verwerker (Module Twee) van toepassing zijn. Voor gegevens die afkomstig zijn uit Zwitserland, omvatten verwijzingen naar "Lidstaat" ook Zwitserland en verwijzingen naar "AVG" worden beschouwd als verwijzingen naar de Zwitserse Federale Wet op de Gegevensbescherming. De Zwitserse federale functionaris voor gegevensbescherming en informatie (FDPIC) treedt op als bevoegde toezichthoudende autoriteit.
  3. Invulling van EU-MCB's
    Voor de doeleinden van de EU SCC's:
    (a) de Klant treedt op als gegevensexporteur en Keeper als gegevensimporteur;
    (b) clausule 7 (Dockingclausule) is alleen van toepassing na onderlinge schriftelijke overeenstemming door de Partijen;
    (c) clausule 9 (Gebruik van subverwerkers), optie 2 is van toepassing, met Subverwerkers zoals geïdentificeerd in Subbijlage B.
    (d) clausule 11 (Onafhankelijke geschillenbeslechting) optionele taal is niet van toepassing;
    (e) clausule 17 (Toepasselijk recht) de wetten van Ierland; clausule 18 (Rechtsgebied) – de rechtbanken van Ierland; en
    (f) Bijlage I en II worden aangevuld door verwijzing naar deze GVO. De technische en organisatorische maatregelen van Keeper worden beschreven in Subbijlage C.
  4. Verenigd Koninkrijk
    Voor Persoonsgegevens van Klanten die vanuit het Verenigd Koninkrijk naar Keeper worden overgedragen, komen de Partijen overeen dat de Britse International Data Transfer Agreement (IDTA), het Britse Addendum op de EU-MCB s, zoals uitgegeven door de Information Commissioner's Office, van toepassing is en door middel van verwijzing is opgenomen. Voor de doeleinden van het Britse Addendum:
    (a) De Klant treedt op als gegevensexporteur en Keeper als gegevensimporteur;
    (b) Toepasselijk recht en rechtsgebied – Engeland en Wales; en
    (c) De beveiligingsmaatregelen zijn zoals beschreven in Subbijlage C en in de Beveiligingsdocumentatie van Keeper.
    De dockingclausule is alleen van toepassing bij onderlinge schriftelijke overeenstemming van de partijen.
  5. Brazilië (LGPD)
    Voor Persoonsgegevens van Klanten die vallen onder de Lei Geral de Proteção de Dados Pessoais (federale wet 13.709/2018 – "LGPD"), komen de Partijen overeen dat internationale doorgiften zullen voldoen aan artikel 33-36 van de LGPD en de Verordening betreffende internationale doorgiften van persoonsgegevens uitgegeven door de Autoridade Nacional de Proteção de Dados (ANPD), inclusief de modelcontractbepalingen (Cláusulas-Padrão Contratuais) goedgekeurd in Bijlage II van die Verordening, die hierin zijn opgenomen door middel van verwijzing.

    5.1 Deze Clausules zijn ongewijzigd van toepassing en worden als volgt ingevuld:
    (a) Exporteur: Klant (Verwerkingsverantwoordelijke); (b) Importeur: Keeper (Verwerker); (c) Doeleinde: het verlenen van de diensten van Keeper en gerelateerde ondersteuning krachtens de Overeenkomst; (d) Categorieën van Betrokkenen: Klantgegevens in het kader van de Overeenkomst; (e) Persoonsgegevens: zoals beschreven in Subbijlage A; (f) Doorgifte: toegestaan naar de door Keeper geautoriseerde Subverwerkers die vermeld staan in Subbijlage B onder gelijkwaardige waarborgen; (g) Aangewezen Partij (clausule 4): Keeper, verantwoordelijk voor transparantie, behandeling van rechten van betrokkenen en incidentrapportage onder clausule 14-16 van de Braziliaanse MCB's; (h) Toepasselijke wetgeving en jurisdictie: ongeacht het toepasselijke recht van de Overeenkomst, worden de Braziliaanse Modelcontractbepalingen beheerst door en uitgelegd overeenkomstig de wetgeving van Brazilië en onderworpen aan de jurisdictie van de bevoegde rechtbanken van Brazilië; en (i) Beveiligingsmaatregelen: die beschreven in Subbijlage C.

    5.2 De dockingclausule (clausule 9 van de Braziliaanse MCB's) is alleen van toepassing na onderline schriftelijke overeenkomst door de Partijen.

  6. Voor alle andere rechtsgebieden zonder een adequaatheidsbeslissing zal Keeper geschikte overdrachtsmechanismen implementeren in overeenstemming met artikel 46 van de AVG, de Britse GDPR en artikel 33-36 van de LGPD, of andere toepasselijke wetgeving om adequate bescherming te waarborgen.
  7. Wanneer Gegevensbeschermingskaders niet van toepassing zijn, vertrouwen de Partijen op de toepasselijke Modelcontractbepalingen of gelijkwaardige waarborgen die worden erkend op grond van de toepasselijke Wetgeving Inzake Gegevensbescherming.
  8. Voor alle andere rechtsgebieden zonder een adequaatheidsbeslissing zal Keeper geschikte overdrachtsmechanismen implementeren in overeenstemming met artikel 46 van de AVG, de Britse GDPR en artikel 33-36 van de LGPD, of andere toepasselijke wetgeving om adequate bescherming te waarborgen.
  9. Updates van overdrachtsmechanismen
    Indien de Europese Commissie, de Britse ICO, de Zwitserse FDPIC of de Braziliaanse ANPD herziene of vervangende overdrachtsmechanismen aanneemt, zullen deze automatisch de hierin genoemde clausules vervangen om de naleving van de toepasselijke Wetgeving Inzake Gegevensbescherming te waarborgen.
  10. EU-VS-Gegevensbeschermingskader
    Keeper neemt actief deel aan het EU-VS -Gegevensbeschermingskader, de Britse uitbreiding op het EU-VS-Gegevensbeschermingskader en het Zwitsers-VS-Gegevenbeschermingskader. U kunt hier Keepers certificeringsstatus bekijken: https://www.dataprivacyframework.gov/list. Als het Gegevensbeschermingskader niet meer van toepassing is, wordt de gegevensoverdracht voortgezet volgens de Modelcontractbepalingen.
  11. Als de Klant van mening is dat deze maatregelen niet voldoende zijn om te voldoen aan de wettelijke vereisten onder een specifieke omstandigheid, zal de Klant Keeper schriftelijk op de hoogte stellen van de redenen voor deze mening en zullen de Partijen te goeder trouw samenwerken om een wederzijds aanvaardbaar alternatief te vinden.
  12. Amerikaanse staatsprivacywetten (met inbegrip van de CCPA, zoals gewijzigd)

    Voor zover Keeper persoonsgegevens van Klanten verwerkt die onderworpen zijn aan de California Consumer Privacy Act van 2018, zoals gewijzigd en van tijd tot tijd van kracht is (waaronder de California Privacy Rights Act en eventuele latere wijzigingen, gezamenlijk de "CCPA") of enige andere Amerikaanse privacywet die wezenlijk vergelijkbare verplichtingen oplegt aan verwerkers of dienstverleners (gezamenlijk de "Staatsprivacywetten"), zal Keeper optreden als Dienstverlener of Verwerker van de Klant, waar van toepassing:

    (a) Keeper zal dergelijke Persoonsgegevens alleen verwerken voor de zakelijke doeleinden beschreven in de Overeenkomst en dit Addendum en niet voor enig ander doel dan het leveren van de Diensten.
    (b) Keeper zal geen Persoonsgegevens verkopen, delen of anderszins bekendmaken, noch dergelijke gegevens bekendmaken voor enig doel buiten de directe zakelijke relatie met de Klant, behalve zoals toegestaan door de Staatsprivacywetten.
    (c) Keeper zal ervoor zorgen dat elke Subverwerkerovereenkomst gelijkwaardige beperkingen en dienstverleners- of verwerkersverplichtingen bevat.
    (d) Keeper zal de Klant onmiddellijk op de hoogte stellen als Keeper vaststelt dat het niet langer aan zijn verplichtingen onder de Staatsprivacywetten kan voldoen en de Klant mag redelijke en passende stappen ondernemen om ongeoorloofd gebruik van Persoonsgegevens te stoppen en te verhelpen.
    (e) Keeper verklaart dat het zijn verplichtingen op grond van de Staatsprivacywetten begrijpt en zal naleven.

SUBVERWERKERS

  1. Keeper wordt algemene machtiging verleend om derden in te schakelen om de Persoonsgegevens te verwerken ("Subverwerkers") zonder verdere schriftelijke, specifieke autorisatie van de Klant te verkrijgen. Keeper zal een schriftelijke Subverwerkersovereenkomst aangaan met elke Subverwerker. Een dergelijke overeenkomst zal minimaal dezelfde gegevensbeschermingsverplichtingen bieden als die van toepassing zijn op Keeper, inclusief de verplichtingen onder dit Addendum. Keeper zal op permanente basis de naleving van de toepasselijke wetgeving inzake gegevensbescherming door zijn Subverwerkers controleren en beheren. De documentatie van dergelijke controle en dergelijk beheer zal aan de Klant worden verstrekt, indien hierom schriftelijk wordt verzocht.
  2. Als de Subverwerker de overeengekomen diensten buiten de EU/EER uitvoert, zal Keeper ervoor zorgen dat deze ontvankelijk zijn onder de wetgeving inzake gegevensbescherming door passende maatregelen te nemen.
  3. Op het moment dat dit Addendum wordt aangegaan, maakt Keeper gebruik van de Subverwerkers zoals vermeld in Subbijlage B. Keeper biedt de Klant een mechanisme om zich via zijn Vertrouwenscentrum te registreren voor updates van nieuwe Subverwerkers. Kennisgeving van nieuwe of vervangende Subverwerkers wordt verstrekt via Keepers Vertrouwenscentrum of andere redelijke elektronische middelen en de bezwaarperiode gaat in na dergelijke kennisgeving.
  4. De Klant kan te goeder trouw en redelijkerwijs bezwaar maken tegen de wijziging of het gebruik van een nieuwe Subverwerker door Keeper door schriftelijk mededeling via e-mail aan privacy@keepersecurity.com binnen tien (10) werkdagen na ontvangst van een kennisgeving van Keeper over een nieuwe Subverwerker. Een dergelijke schriftelijke kennisgeving dient, ten minste, de redelijke gronden in goede trouw van de Klant voor het bezwaar te bevatten. Keeper zal commercieel redelijke inspanningen leveren om een wijziging aan te bevelen in het gebruik van de Diensten door de Klant. Indien de Klant geen bezwaar heeft ingediend binnen tien (10) werkdagen, wordt dit beschouwd als instemming met de betreffende Subverwerker.
  5. In het geval dat de Klant bezwaar maakt tegen een nieuwe Subverwerker en de partijen het bezwaar van de Klant niet onderling kunnen oplossen, kan de Klant de Diensten beëindigen met betrekking tot alleen de Diensten die niet door Keeper kunnen worden geleverd zonder gebruik van de betreffende nieuwe Subverwerker, door Keeper schriftelijk in kennis te stellen.
  6. Keeper is tegenover de Klant op dezelfde wijze aansprakelijk voor elke Subverwerker als voor zijn eigen handelen en nalaten.

BEËINDIGING; TERUGGAVE OF VERWIJDERING VAN PERSOONSGEGEVENS

  1. Na het verlopen of beëindigen van de Overeenkomst zal Keeper alle Persoonsgegevens in zijn bezit verwijderen of aan de Klant retourneren zoals voorzien in de Overeenkomst, behalve voor zover Keeper door de Toepasselijke wetgeving vereist is om sommige of alle Persoonsgegevens te bewaren (in welk geval Keeper de gegevens zal archiveren en passende maatregelen zal nemen om te voorkomen dat de Persoonsgegevens verder worden verwerkt). De voorwaarden van dit Addendum blijven van toepassing op dergelijke Persoonsgegevens.

IMPACTANALYSE VAN GEGEVENSBESCHERMING EN VOORAFGAAND OVERLEG

  1. Indien de hulp van Keeper noodzakelijk en relevant is, zullen de partijen voor zover redelijkerwijs noodzakelijk samenwerken bij het opstellen van gegevensbeschermingseffectbeoordelingen in overeenstemming met artikel 35 van de AVG, evenals eventuele voorafgaande raadpleging in overeenstemming met artikel 36 van de AVG. De partijen dragen elk hun eigen kosten bij het nakomen van dergelijke verplichtingen.

DIVERSEN

  1. Wijziging van dit Addendum: dit Addendum kan alleen worden gewijzigd middels een schriftelijk amendement dat door elk van de Partijen is ondertekend.
  2. Toepasselijk recht, locatie en rechtsbevoegdheid: alle geschillen en rechtsvorderingen met betrekking tot deze Overeenkomst zullen uitsluitend worden voorgelegd aan de rechtbanken van en worden uitgelegd (zonder rekening te houden met bepalingen betreffende conflicterend recht) overeenkomstig de wetten die in de Overeenkomst zijn gespecificeerd.
  3. Ongeldigheid en scheidbaarheid; conflict: als enige bepaling van dit Addendum door een rechtbank of administratief orgaan van een bevoegd rechtsgebied ongeldig of onafdwingbaar wordt bevonden, heeft de ongeldigheid of onafdwingbaarheid van een dergelijke bepaling geen invloed op andere bepalingen van dit Addendum en blijven alle bepalingen die niet worden beïnvloed door een dergelijke ongeldigheid of onafdwingbaarheid volledig van kracht. In het geval van enige inconsistentie tussen dit Addendum en Modelcontractbepalingen die door de partijen zijn aangegaan, indien van toepassing, prevaleren de Modelcontractbepalingen.

SUBAPPENDIX A

Persoonsgegevens

  1. Keeper verwerkt de volgende soorten persoonsgegevens in verband met de levering van de diensten:
    1. De overgedragen persoonsgegevens hebben betrekking op contactgegevens (naam, adres, e-mailadres, telefoon), entiteitsgegevens, IP-adres, apparaat-id en informatie over de applicatieversie.

Categorieën van betrokkenen

  1. Keeper verwerkt persoonsgegevens over de volgende categorieën van betrokkenen namens de Klant:
    1. Klant
    2. Geautoriseerde Eindgebruikers van de Klant, inclusief werknemers van de Klant.

SUBBIJLAGE B – Goedgekeurde Subverwerkers

Een actuele lijst van Keepers Subverwerkers is beschikbaar op 1B Subverwerkers . Deze omvat details over de namen en locaties van de rechtspersonen van de Subverwerkers. Subverwerkers worden van tijd tot tijd bijgewerkt en de Klant kan zich op Keepers Vertrouwenscentrum registreren om updates te ontvangen.

SUBBIJLAGE C – Gegevensbeveiligingsannex

Deze Gegevensbeveiligingsannex vult de Overeenkomst tussen de Klant en Keeper aan die uw gebruik van de Diensten regelt. Tenzij anders gedefinieerd in deze Annex, hebben alle termen met een hoofdletter die in deze Annex worden gebruikt de betekenis die eraan is gegeven in de Overeenkomst.

  1. Omvang van de gegevensverwerking. Dit Schema is van toepassing op alle Diensten van Keeper en op de verwerking van alle gegevens die de Klant aan Keeper worden verstrekt ("Klantgegevens").
  2. Vertrouwelijkheid van Klantgegevens. Keeper zal geen Klantgegevens inzien, gebruiken of aan derden verstrekken, behalve in elk afzonderlijk geval voor zover nodig om de Diensten te onderhouden of te leveren, of voor zover nodig om te voldoen aan de wet of een geldig en bindend bevel van een overheidsinstantie (zoals een dagvaarding of gerechtelijk bevel). Als een overheidsinstantie Keeper om Klantgegevens vraagt, zal Keeper proberen de overheidsinstantie door te verwijzen om die gegevens rechtstreeks bij de Klant op te vragen. Als onderdeel van deze inspanning kan Keeper de basiscontactgegevens van de Klant aan de overheidsinstantie verstrekken. Indien Keeper verplicht is Klantgegevens aan een overheidsinstantie te verstrekken, zal Keeper de Klant tijdig in kennis stellen van dit verzoek, zodat de Klant een beschermingsbevel of andere passende maatregel kan verzoeken, tenzij het Keeper wettelijk verboden is. Keeper verbiedt zijn personeel Klantgegevens te verwerken zonder autorisatie door Keeper, zoals beschreven in Annex 1 - Beveiligingsnormen die hieraan zijn gehecht. Keeper legt passende contractuele verplichtingen op aan zijn personeel, waaronder relevante verplichtingen met betrekking tot vertrouwelijkheid, gegevensbescherming en gegevensbeveiliging.
  3. Beveiliging van gegevensverwerking. Keeper heeft de technische en organisatorische maatregelen voor de Keeper-systemen, zoals beschreven in de Beveiligingsnormen en dit artikel, geïmplementeerd en zal deze handhaven. Keeper heeft met name de volgende technische en organisatorische maatregelen geïmplementeerd en zal deze handhaven:
    1. Beveiliging van de Keeper-systemen zoals uiteengezet in de Beveiligingsnormen;
    2. Fysieke beveiliging van de faciliteiten zoals uiteengezet in de Beveiligingsnormen;
    3. Maatregelen om de toegangsrechten van geautoriseerd personeel tot de Keeper-systemen te controleren, zoals uiteengezet in de beveiligingsnormen; en
    4. Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen die door Keeper zijn geïmplementeerd, zoals beschreven in artikel 2 van de Beveiligingsnormen.
  4. Keeper-certificeringen en audits.
    1. Keeper-certificering en rapporten. Naast de informatie in deze Annex zal Keeper op verzoek van de Klant ook zijn ISO 27001- en SOC2-certificaten beschikbaar maken. Keepers gegevensbeveiligingscontroles worden gevalideerd via onafhankelijke beoordelingen en certificeringen en zijn toegankelijk op Keepers Vertrouwenscentrum. Certificeringen omvatten:
      • SOC 2 Type II (AICPA-criteria voor trustdiensten)
      • ISO 27001, ISO 27017 en ISO 27018
      • FedRAMP Moderate-autorisatie (voor Keeper Security Government Cloud)
      • FIPS 140-3-gevalideerde cryptografische modules
      • HIPAA-conforme architectuur (Keeper is geen Business Associate omdat het geen toegang heeft tot ePHI)
      • Afstemming op naleving van de AVG, de Britse GDPR en de Digital Operational Resilience Act (DORA)
    2. Audits. Keeper maakt gebruik van externe auditors om de adequaatheid van zijn beveiligingsmaatregelen te verifiëren, inclusief de beveiliging van de fysieke datacenters van waaruit Keeper de Diensten levert. Deze audit: (a) zal ten minste jaarlijks worden uitgevoerd; (b) zal worden uitgevoerd volgens de ISO 27001-normen of andere alternatieve normen die wezenlijk gelijkwaardig daaraan zijn; (c) zal worden uitgevoerd door onafhankelijke beveiligingsprofessionals van derden, geselecteerd door en op kosten van Keeper; en (d) zal resulteren in het opstellen van een auditrapport ("Rapport"), dat Vertrouwelijke Informatie van Keeper zal zijn.

Annex 1 - Beveiligingsnormen

Gegevensbeveiligingsprogramma. Keeper zal een gegevensbeveiligingsprogramma handhaven dat is ontworpen om (a) de Klant in staat te stellen Klantgegevens te beschermen tegen onbedoeld of onrechtmatig verlies, toegang of bekendmaking, (b) redelijkerwijs voorzienbare risico's voor de beveiliging en beschikbaarheid van de Keeper-systemen te identificeren en (c) fysieke en logische beveiligingsrisico's voor de Keeper-systemen te minimaliseren, onder meer door middel van regelmatige risicobeoordeling en tests. Keeper zal een of meer werknemers aanwijzen die verantwoordelijk zijn voor de coördinatie en uitvoering van het gegevensbeveiligingsprogramma.

Het gegevensbeveiligingsprogramma van Keeper zal de volgende maatregelen omvatten:

  1. Logische beveiliging.
    1. Toegangscontroles. Keeper zal de systemen van Keeper alleen toegankelijk maken voor geautoriseerd personeel en alleen waar nodig is om de Diensten te onderhouden en te leveren. Keeper zal toegangscontroles en -beleid handhaven om autorisaties voor toegang tot de Keeper-systemen te beheren van elke netwerkverbinding en gebruiker, onder andere via het gebruik van firewalls of functioneel gelijkwaardige technologie en authenticatiecontroles. Keeper zal toegangscontroles handhaven die zijn ontworpen om (i) ongeautoriseerde toegang tot gegevens te beperken en (ii) de gegevens van elke klant te scheiden van de gegevens van andere klanten.
    2. Beperkte gebruikerstoegang. Keeper zal (i) de toegang van gebruikers tot de Keeper-systemen beperken in overeenstemming met het principe van minimale privileges op basis van de functies van personeel, (ii) beoordeling en goedkeuring vereisen voordat toegang tot de Keeper-systemen wordt ingericht die verder gaat dan het principe van minimale privileges, inclusief beheerdersaccounts; (iii) ten minste elk kwartaal een beoordeling van de toegangsrechten tot de Keeper-systemen vereisen en, indien nodig, deze toegangsrechten tijdig intrekken en (iv) tweeledige verificatie vereisen voor toegang tot de Keeper-systemen vanaf externe locaties.
    3. Kwetsbaarheidsbeoordelingen. Keeper zal regelmatig externe kwetsbaarheidsanalyses en penetratietests uitvoeren op de Keeper-systemen en zal geïdentificeerde problemen onderzoeken en ervoor zorgen dat deze tijdig worden opgelost.
    4. Toepassingsbeveiliging. Voordat nieuwe Diensten of belangrijke nieuwe functies van Diensten openbaar worden uitgebracht, zal Keeper toepassingsbeveiligingsbeoordelingen uitvoeren die zijn ontworpen om beveiligingsrisico's te identificeren, te beperken en tegen te gaan.
    5. Veranderingsbeheer. Keeper zal controles handhaven die zijn ontworpen om wijzigingen aan bestaande Keeper-systeembronnen te registreren, autoriseren, testen, goedkeuren en documenteren en zal de details van wijzigingen vastleggen in zijn veranderingsbeheer- of implementatietools. Keeper zal wijzigingen testen volgens de normen voor veranderingsbeheer voordat deze naar productie worden gemigreerd. Keeper zal processen handhaven die zijn ontworpen om ongeautoriseerde wijzigingen in de systemen van Keeper te detecteren en geïdentificeerde problemen te volgen tot aan oplossing. Keeper heeft veilige codenormen, statische/dynamische analyse, peer review en formele goedkeuring van wijzigingen voorafgaand aan productie-uitrol. Ontwikkelaars ontvangen jaarlijks training op het gebied van beveiliging en privacy.
    6. Gegevensintegriteit. Keeper zal controles handhaven die zijn ontworpen om gegevensintegriteit te waarborgen tijdens de overdracht, opslag en verwerking binnen de Keeper-systemen. Keeper biedt de Klant de mogelijkheid om Klantgegevens uit de Keeper-systemen te verwijderen.
    7. Ver- en ontsleutelen vinden uitsluitend plaats op het apparaat van de eindgebruiker. Keeper heeft geen toegang tot leesbare kluisinhoud of hoofdwachtwoorden. Zero-trust principes dwingen authenticatie van gebruikers en apparaten af voordat toegang wordt verkregen. Encryptiesleutels worden afgeleid op het apparaat van de gebruiker (bijvoorbeeld PBKDF2-afleiding). Onversleutelde sleutels of hoofdwachtwoorden worden nooit opgeslagen of verzonden naar Keeper.
    8. Keeper ondersteunt TOTP, Duo Security, FIDO/U2F-sleutels en biometrie. SSO Connect® en SSO Connect® Cloud bieden zero-knowledge authenticatie via SAML 2.0. Beheerders hebben de beschikking over gedetailleerde toegangscontroles op basis van rollen.
    9. TLS-encryptie voor alle verbindingen, sterke API-verificatie, netwerksegmentatie, inbraakdetectie en 24x7 bewaking voor beschikbaarheid en bedreigingsgebeurtenissen.
    10. Bedrijfscontinuïteit en herstel na calamiteiten. Keeper onderhoudt een formeel risicobeheerprogramma dat is ontworpen om de continuïteit van zijn kritieke bedrijfsfuncties te ondersteunen ("Bedrijfscontinuïteitsprogramma"). Het Bedrijfscontinuïteitsprogramma omvat processen en procedures voor het identificeren van, reageren op en herstellen na gebeurtenissen die de levering van de Diensten door Keeper kunnen verhinderen of wezenlijk kunnen schaden (een "BCP-gebeurtenis"). Het Bedrijfscontinuïteitsprogramma omvat een aanpak in drie fasen die Keeper zal volgen om met BCP-gebeurtenissen om te gaan:
  2. Activerings- en kennisgevingsfase. Wanneer Keeper problemen identificeert die waarschijnlijk tot een BCP-gebeurtenis zullen leiden, zal Keeper deze problemen escaleren, valideren en onderzoeken. Tijdens deze fase zal Keeper de hoofdoorzaak van de BCP-gebeurtenis analyseren.
    1. Herstelfase. Keeper wijst de verantwoordelijkheid toe aan de juiste teams om stappen te ondernemen om de normale systeemfunctionaliteit te herstellen of de getroffen Diensten te stabiliseren.
    2. Reconstructiefase. Het management van Keeper beoordeelt de genomen acties en bevestigt dat de herstelinspanning is voltooid en dat de getroffen delen van de Diensten en Keeper-systemen zijn hersteld. Na deze bevestiging voert Keeper een analyse achteraf uit van de BCP-gebeurtenis.
  3. Incidentbeheer. Keeper zal plannen voor corrigerende actie en incidentrespons onderhouden om te reageren op potentiële beveiligingsdreigingen voor de Keeper-systemen. De incidentresponsplannen van Keeper omvatten gedefinieerde processen voor het detecteren, beperken, onderzoeken en rapporteren van beveiligingsincidenten. De incidentresponsplannen van Keeper omvatten incidentverificatie, aanvalsanalyse, inperking, gegevensverzameling en probleemoplossing.
  4. Buitengebruikstelling van opslagmedia. Keeper zal een proces onderhouden voor het buiten gebruik stellen van media dat wordt uitgevoerd voorafgaand aan de definitieve verwijdering van opslagmedia die worden gebruikt voor het opslaan van Klantgegevens. Voorafgaand aan de uiteindelijke verwijdering zullen opslagmedia die werden gebruikt voor het opslaan van Klantgegevens worden gedemagnetiseerd, gewist, gezuiverd, fysiek vernietigd of anderszins geschoond volgens standaard industriepraktijken die ervoor zorgen dat Klantgegevens niet kunnen worden verkregen van het betreffende type opslagmedium.
  5. Fysieke beveiliging.
    1. Toegangscontroles. Keeper zal (i) fysieke beveiligingsmaatregelen implementeren en onderhouden die zijn ontworpen om ongeautoriseerde fysieke toegang tot, schade aan of verstoring van de Keeper-systemen te voorkomen, (ii) geschikte controlemiddelen gebruiken om de fysieke toegang tot de Keeper-systemen te beperken tot alleen geautoriseerd personeel dat een legitieme zakelijke behoefte heeft aan dergelijke toegang, (iii) de fysieke toegang tot de Keeper-systemen bewaken met behulp van inbraakdetectiesystemen die zijn ontworpen om beveiligingsincidenten te bewaken, te detecteren en het juiste personeel hiervan op de hoogte te stellen, (iv) de fysieke toegang tot de Keeper-systemen registreren en regelmatig controleren en (v) periodieke controles uitvoeren om de naleving van deze normen te valideren.
    2. Beschikbaarheid. Keeper zal (i) redundante systemen implementeren voor de Keeper-systemen, ontworpen om de impact van een storing op de Keeper-systemen te minimaliseren, (ii) de Keeper-systemen zo ontwerpen dat ze hardwarestoringen kunnen voorzien en tolereren en (iii) geautomatiseerde processen implementeren die ontworpen zijn om het gegevensverkeer van klanten weg te leiden van het getroffen gebied in geval van een hardwarestoring.
  6. Keeper-werknemers
    1. Beveiligingstraining voor werknemers. Keeper zal beveiligingstrainingsprogramma's voor werknemers implementeren en onderhouden met betrekking tot de gegevensbeveiligingsvereisten van Keeper. De trainingsprogramma's voor beveiligingsbewustzijn zullen ten minste jaarlijks worden geëvalueerd en bijgewerkt.
    2. Achtergrondcontroles. Indien wettelijk toegestaan en voor zover beschikbaar bij de toepasselijke overheidsinstanties, zal Keeper vereisen dat elke werknemer een achtergrondonderzoek ondergaat dat redelijk en passend is voor de functie van de werknemer en diens niveau van toegang tot de systemen van Keeper.
  7. Doorlopende evaluatie. Keeper zal periodieke evaluaties uitvoeren van het gegevensbeveiligingsprogramma voor de Keeper-systemen. Keeper zal zijn gegevensbeveiligingsprogramma indien nodig bijwerken of aanpassen om te reageren op nieuwe beveiligingsrisico's en om te profiteren van nieuwe technologieën.
  8. Naleving van de Digital Operational Resilience Act (DORA)
    Ter ondersteuning van de naleving van de Digital Operational Resilience Act (DORA) onderhoudt Keeper grondige operationele en beveiligingsmaatregelen om de software en systemen van Keeper te beschermen. Dit omvat, maar is niet beperkt tot, het implementeren van effectieve risicobeheerprocessen, het volgen en beheren van uptimebeschikbaarheid, het handhaven van een strikt intern beveiligingsbeleid, het vereisen van interne beveiligingstrainingen en het instellen van incidentresponsprotocollen. Keeper controleert, actualiseert en verfijnt procedures continu om risico's te beperken en de operationele functionaliteit en beveiliging van de software en diensten van Keeper te waarborgen.
close
Zakelijke verkopen
Support
close
Nu kopen